Nueva regulación obligará a entidades sistémicas a contar con infraestructura
separada hasta 500 km para garantizar continuidad operativa frente a terremotos o
catástrofes.
Banco Central de Reserva del Perú (BCRP) estableció una nueva exigencia para los
bancos considerados sistémicamente importantes: deberán implementar un tercer centro
de datos separado geográficamente para asegurar la continuidad de transferencias y
operaciones críticas incluso ante desastres extremos como terremotos, tsunamis o
eventos que afecten por completo una ciudad.
La medida fue incorporada mediante la Circular Nº 0011-2026-BCRP y entrará en
vigencia en junio de 2026.
Bancos deberán contar con tres centros operativos
Hasta ahora, la regulación exigía únicamente un centro principal y uno secundario,
ubicados a una distancia mínima de 10 kilómetros. Sin embargo, el nuevo reglamento
incorpora el concepto de “centro de contingencia extrema”, que deberá encontrarse a
por lo menos 500 kilómetros del centro principal.
La disposición aplica únicamente a las entidades financieras que procesan más del 5 %
del valor anual de transferencias del Sistema de Liquidación Bruta en Tiempo Real
(LBTR), consideradas claves dentro del sistema financiero peruano.
El objetivo es garantizar que, frente a un desastre regional que afecte Lima u otra ciudad
principal, los bancos puedan trasladar rápidamente sus operaciones hacia otra zona del
país y mantener activos los sistemas de pagos y transferencias.
Medida busca evitar paralización financiera
El BCR explicó que la nueva exigencia toma como referencia experiencias
internacionales implementadas tras grandes catástrofes en países como Chile y Japón.
Tras el terremoto chileno de 2010 y el desastre de Fukushima en 2011, ambos países
reforzaron sus sistemas de respaldo bancario mediante centros operativos alejados de las
principales ciudades financieras.
En el caso peruano, la nueva regulación permitiría que entidades financieras continúen
operando desde ciudades como Arequipa, Cusco o Trujillo en caso de una interrupción
masiva en Lima.
Nuevos estándares de ciberseguridad
La norma también endurece las exigencias relacionadas con ciberseguridad y gestión de
riesgos para todas las entidades participantes del sistema financiero.
Entre las nuevas obligaciones figuran controles de acceso físico y digital, pruebas
anuales de vulnerabilidad y ethical hacking, respaldos periódicos de información y
monitoreo permanente de infraestructura crítica.
Asimismo, el BCR recomienda la adopción de estándares internacionales como la
certificación ISO 27001 en seguridad de la información.
Las entidades deberán informar previamente al ente emisor sobre cambios relevantes en
sus procesos tecnológicos y participar en simulacros y pruebas de continuidad
operativa.
Bancos tendrán hasta tres años para adecuarse
Los bancos considerados sistémicamente importantes contarán con un plazo de hasta
tres años para implementar el tercer centro de datos desde el momento en que sean
notificados oficialmente.
Para el resto de entidades financieras se mantendrá la obligación de contar con dos
centros operativos, aunque bajo estándares técnicos y operativos más estrictos.
